FortiGateでSSL-VPNをActive Directory認証と連携する方法【GUI操作で解説】

リモートワークの普及に伴い、FortiGateでSSL-VPNを構築して社内ネットワークへ安全にアクセスするニーズは急増しています。 特にActive Directory（AD）認証と連携することで、既存のユーザーアカウント管理を統合でき、セキュリティと利便性を両立できます。 本記事では、GUI操作を中心に、FortiGateでSSL-VPNとAD認証を連携させる方法を分かりやすく解説します。

SSL-VPNの基本構成

FortiGateのSSL-VPNには大きく2つの利用モードがあります。

• トンネルモード：VPNクライアント（FortiClient）を使い、LAN内のリソースに直接アクセスする方式
• Webモード：ブラウザ経由でポータルページにアクセスし、RDPやWebアプリに利用者を制限してアクセスさせる方式

Active Directory認証を利用することで、ユーザーごとに利用できるモードやアクセス先を制御できます。 例えば「社員はトンネルモードで社内LANにアクセス」「協力会社はWebモードで特定のサーバのみ利用」といった柔軟な設計が可能です。

Active Directory認証との連携手順

1. LDAPサーバの追加

FortiGateでActive Directory認証を行うには、まずLDAPサーバを登録します。 GUIからの操作手順は以下の通りです。

1. [ユーザー & デバイス] → [認証] → [LDAPサーバ] をクリック
2. 「新規作成」でADサーバの情報を入力
3. 接続方式は「LDAP」を選択
4. サーバIPアドレス（例：192.168.10.10）を入力
5. Bind DNにAD管理者アカウントを入力（例：cn=admin,dc=example,dc=local）
6. 「接続テスト」で成功を確認

2. ユーザーグループの作成

次に、LDAPサーバを利用するユーザーグループを作成します。

1. [ユーザー & デバイス] → [ユーザーグループ] → [新規作成]
2. 名前を「SSLVPN_AD_Users」とする
3. タイプを「Firewall」グループとし、メンバーに先ほど作成したLDAPサーバを追加

3. SSL-VPNポータル設定

SSL-VPNで利用するポータルを作成・編集します。

1. [VPN] → [SSL-VPNポータル] → [新規作成] または既存ポータルを編集
2. トンネルモードを有効化（FortiClient利用時）
3. Webモードを必要に応じて設定（例：内部RDPサーバへのリンクを登録）

4. SSL-VPN設定

実際のSSL-VPNを有効化する手順です。

1. [VPN] → [SSL-VPN設定]
2. 「インターフェース」を外部接続用WANポートに設定
3. 「ポータル割り当て」で SSLVPN_AD_Users → 作成したポータル を指定

Firewallポリシーとルーティングの注意点

SSL-VPNを利用するには、必ずFirewallポリシーを設定する必要があります。 設定がないと認証は成功しても通信が通りません。

1. [ポリシー & オブジェクト] → [IPv4ポリシー]
2. 送信元インターフェース：SSL-VPNトンネル
3. 宛先インターフェース：内部LAN
4. 送信元：SSLVPN_AD_Users
5. 宛先：必要なサブネット（例：192.168.1.0/24）
6. サービス：必要な通信（ALL または RDP/HTTPなど限定）
7. アクション：Accept

トラブルシュート

認証失敗時

• Bind DNやパスワードが誤っていないか確認
• AD側のファイアウォールでTCP/389（LDAP）が許可されているか確認

接続できるが通信不可

• Firewallポリシーが正しく設定されているか
• 内部LANのルーティングが正しいか（リターントラフィック経路）

ポータル未表示

• 「ポータル割り当て」でユーザーグループとポータルが関連付けられているか確認

まとめ

FortiGateのSSL-VPNは、Active Directory認証と連携することでユーザー管理を一元化し、セキュリティを高められます。 GUI操作での設定は直感的ですが、Firewallポリシーやポータル割り当てを忘れるとトラブルの原因になります。 本記事で紹介した手順を押さえておけば、「FortiGate VPNがつながらない」問題の多くを未然に防ぐことが可能です。 今後のリモートアクセス環境設計にぜひ役立ててください。